Microsoft culpa a los piratas

l ataque del pasado viernes 25 de junio a populares sitios de Internet, fue detenido cuando un sitio Web ruso fue puesto fuera de línea. El mismo permaneció hasta el lunes 28 bajo la investigación de varias firmas de seguridad, todavía desconcertadas sobre el método utilizado para infectar un gran número de servidores IIS de Microsoft.

Sin embargo, la evidencia está conduciendo a los expertos, a aceptar la explicación de Microsoft, sobre que los servidores IIS 5.0 fueron comprometidos manualmente, y que su software no tiene una vulnerabilidad desconocida.

"Nadie que conozca todo sobre estos servidores fue infectado," dijo Ken Dunham, director de investigación de código malicioso en iDefense. "Si se tratara de una vulnerabilidad extendida, ¿cómo es que no fueron infectados más servidores? Si ése hubiera sido el caso, deberíamos haber oído más informes sobre muchas otras computadoras infectadas con este código en JavaScript".

El código, identificado como SCOB, TOOFER, o DOWNLOAD.JECT, infectó usuarios de Internet Explorer al visitar dichos sitios, y estos descargaron a su vez un troyano de un sitio en Rusia, lo que comprometió la seguridad de sus datos.

Servidores vulnerables

Microsoft lanzó una declaración el sábado, donde demandaba que el origen del ataque, que infectó a un número desconocido de servidores IIS, y que alternativamente envió código malicioso a los usuarios que hubieran navegado con el Internet Explorer por los sitios afectados, "no es un gusano o un virus. Es decir este ataque es un ataque hecho manualmente a servidores específicos."

Symantec, dijo Oliver Friedrichs, jefe del equipo de respuesta de la compañía, también se inclina hacia hackeos manuales. "Eso es lo que parece," dijo él. "No es ciertamente un gusano o un exploit automatizado."

Microsoft dijo que todos los servidores comprometidos funcionaban con IIS 5.0 sin los parches (publicados en abril), que solucionaban una vulnerabilidad que fue divulgada en ese entonces. Algunas firmas de seguridad teorizaron la semana pasada, sobre que incluso los sistemas ya actualizados eran vulnerables, pero hoy esto parece haber sido solo una falsa alarma.

Un analista de seguridad que pidió no ser nombrado, comentó que es muy probable esos informes fueran originados por administradores que intentaban hacer un control de daños. "Quizás aplicaron mal el parche, o pensaron haberlo aplicado, o no lo aplicaron en todos los equipos y ahora dicen que lo hicieron. Es más fácil decir que 'hay algunos hackers listos por allí afuera' que admitir que han sido atrapados con sus pantalones bajos."

Un conteo de servidores infectados, fue proporcionado el lunes 28 por Cyveillance, fabricante de utilidades de administración que miden el riesgo en línea. El domingo, Cyveillance detectó 641 sitios que habían sido infectados por el código malicioso.

La compañía usó su auditoria de junio de más de 50 millones de dominios, para establecer claramente los 6.2 millones de sitios conocidos que utilizan IIS 5.0. Después de haber analizado todos esos sitios en busca de la infección, llegó a la cifra de tan solo 641 anteriormente mencionada. Si los números de Cyveillance están correctos, eso significa menos de una centésima parte del 1% de todos los servidores bajo IIS 5.0.

Usuarios bajo la lupa

El cuadro está más claro del lado del cliente, donde el Internet Explorer sigue siendo vulnerable a las iteraciones futuras con este tipo de código malicioso entregado por los servidores. El ataque de la semana pasada se valió de dos vulnerabilidades en este navegador, ambas conocidas pero solamente una de ellas ya reparada por Microsoft.

"Esto es algo muy grande,", argumenta Dunham, cuya compañía ha seguido el rastro del ataque hasta un conocido grupo de piratas informáticos conocidos como "HangUP", ubicados en Rusia. "HangUP tiene ahora un nuevo truco en su bolsillo para atacar a usuarios del Internet Explorer a su voluntad."

"El grupo ha acumulado centenares de megabytes de información financiera robada," dijo Dunham, "y las vende en el mercado negro. El ataque de la semana pasada fue hecho para distribuir los capturadores de teclados (keyloggers) y los caballos de Troya que controlan las máquinas de los usuarios vulnerables, para robarles la información de sus cuentas y sus números de tarjetas de crédito."

"Y este grupo no se va a detener. Si venden un número de tarjeta de crédito por apenas uno o tres dólares, y ellos tienen centenares de megabytes de datos, haga usted las cuentas," expresa Dunham. "Un millón de dólares en Rusia es mucho dinero. Y pueden reclutar a nuevos miembros porque tienen un modelo de negocio (ilícito) que trabaja."

En otras palabras, hay que esperar más de estos ataques. Friedrichs expresa que el potencial para que ocurran otros ataques futuros es real: "Podríamos verlos en un par de días o un par de semanas."

Hasta que la vulnerabilidad del Explorer sea remendada por Microsoft, los usuarios deben confiar en una combinación de prácticas y algunos trucos para navegar más o menos seguros.

Los sitios comerciales más importantes ya han actualizado todos sus parches relacionados con la vulnerabilidad del IIS, pero los pequeños quizás no. "Utilice su sentido común cuando usted navegue," aconseja el experto.

Aunque Microsoft afirma que su futuro Service Pack 2 para Windows XP, es invulnerable a este tipo de ataque, lo cierto es que esta no es una solución por el momento, ya que además de estar disponible una versión beta (no recomendada bajo ningún concepto cuando se está hablando de seguridad), la misma solo está disponible para sistemas operativos en inglés.